1. Il problema: i trasferimenti di dati UE-USA non sono mai stati davvero risolti

Per anni, il dibattito sui trasferimenti di dati personali tra Europa e Stati Uniti si è concentrato su un unico binario: l’adeguatezza del quadro normativo americano rispetto agli standard europei di protezione dei dati. Prima il Safe Harbor, poi il Privacy Shield, poi il Data Privacy Framework del 2023: ogni accordo è stato presentato come la soluzione definitiva, e ogni volta il problema si è ripresentato, più complesso di prima.

Ma c’è un capitolo che in questo dibattito è rimasto sistematicamente in ombra, nonostante le sue dimensioni siano enormi: il FATCA, il Foreign Account Tax Compliance Act americano. Un meccanismo che da oltre dieci anni obbliga le istituzioni finanziarie europee a trasferire sistematicamente dati personali e fiscali dei propri clienti al fisco statunitense, in forza di accordi intergovernativi stipulati prima ancora che il GDPR esistesse.

Oggi, quel capitolo è finalmente aperto. E la Corte di Giustizia dell’Unione Europea è chiamata a scriverne le prossime pagine.

Cos’è FATCA e perché riguarda anche le imprese europee

Il FATCA è una legge americana del 2010, entrata in vigore nel 2014, che impone alle istituzioni finanziarie di tutto il mondo — banche, broker, fondi, ma anche piattaforme fintech e operatori di crypto-asset — di identificare i propri clienti che siano “US persons” (cittadini americani, residenti fiscali negli USA, titolari di green card) e di trasmettere automaticamente i loro dati patrimoniali e reddituali all’IRS, l’agenzia delle entrate americana.

Per garantire questa cooperazione, gli USA hanno stipulato con i Paesi europei degli Intergovernmental Agreements (IGA): accordi bilaterali che delegano alle amministrazioni fiscali locali il compito di raccogliere i dati e trasmetterli. In Italia, come in Belgio, Francia, Germania e negli altri Paesi UE, questo meccanismo è operativo da anni.

Il problema è che questi accordi sono stati negoziati e firmati in un’epoca pre-GDPR, quando le regole europee sulla protezione dei dati erano molto meno stringenti. E nessuno, fino a poco tempo fa, si era seriamente chiesto se fossero ancora compatibili con il diritto europeo vigente.

2. La vicenda belga e le 13 domande alla Corte di Giustizia UE

La vicenda belga: da una decisione dell’Autorità Garante a 13 domande alla CGUE

Il caso che ha portato alla svolta nasce in Belgio, e ha come protagonisti gli “Accidental Americans”: persone nate in Europa da genitori americani, o nate negli USA ma cresciute in Europa, che si sono ritrovate ad essere cittadini americani — e quindi soggetti FATCA — spesso senza saperlo, e senza aver mai avuto un legame reale con gli Stati Uniti.

Nel 2023, la Geschillenkamer (Camera dei Contenziosi) dell’Autorità belga per la protezione dei dati ha adottato la Decisione 61/2023, stabilendo che i trasferimenti di dati personali effettuati dal Ministero delle Finanze belga verso l’IRS americano in forza dell’accordo FATCA erano illeciti, in quanto non conformi ai principi del GDPR — in particolare quelli relativi alla limitazione delle finalità, alla minimizzazione dei dati e alle garanzie per i trasferimenti verso Paesi terzi.

Il Ministero delle Finanze ha impugnato la decisione davanti al Marktenhof, la Corte d’Appello di Bruxelles competente in materia. Il Marktenhof ha annullato la decisione e rinviato il caso all’Autorità garante per una nuova valutazione. Nel aprile 2025, l’Autorità ha adottato la Decisione 79/2025, confermando sostanzialmente le proprie conclusioni. Il Ministero ha nuovamente impugnato.

A novembre 2025, il Marktenhof ha emesso un tussenarrest — un’ordinanza interlocutoria — con cui ha deciso di non pronunciarsi nel merito, ma di rimettere alla Corte di Giustizia dell’Unione Europea ben 13 questioni pregiudiziali. Una scelta che segnala la consapevolezza che le domande in gioco non riguardano solo il Belgio, ma l’intera architettura dei rapporti tra diritto europeo e accordi fiscali internazionali.

Le 13 domande: cosa chiede il Marktenhof alla CGUE

Le questioni pregiudiziali si articolano in tre blocchi tematici, ciascuno con implicazioni pratiche rilevanti.

Il primo blocco riguarda la compatibilità del FATCA con il diritto europeo pre-GDPR: in particolare con la Direttiva 95/46/CE e con la Carta dei Diritti Fondamentali dell’UE. La domanda di fondo è: quando questi accordi sono stati firmati, rispettavano già i principi di limitazione delle finalità, minimizzazione dei dati e proporzionalità?

Il secondo blocco è forse il più tecnico ma anche il più dirompente dal punto di vista pratico: riguarda l’articolo 96 del GDPR, la norma transitoria che consente agli accordi internazionali conclusi prima del 24 maggio 2016 di continuare a produrre effetti, a condizione che fossero conformi al diritto UE vigente all’epoca. La Corte dovrà chiarire: qual è l’ambito di applicazione di questa norma? Su chi ricade l’onere della prova? È accettabile che l’art. 96 diventi un regime transitorio permanente, come sembra emergere dalla prassi? E quale ruolo spetta al giudice nazionale nel verificare queste condizioni?

Il terzo blocco affronta il cuore del problema: il Capitolo V del GDPR, dedicato ai trasferimenti verso Paesi terzi. Il Marktenhof chiede alla CGUE di chiarire le conseguenze dell’assenza di una decisione di adeguatezza per gli USA in ambito fiscale, come interpretare l’art. 46 GDPR sulle garanzie adeguate, e infine se e come si applica l’art. 49(1)(d) GDPR — la deroga per motivi di interesse pubblico rilevante — completando così l’intero “meccanismo a cascata” del Capitolo V.

3. FATCA, CRS e il nodo della sovranità digitale europea

Per capire la portata reale di questa vicenda, è utile allargare lo sguardo. Il FATCA non è un caso isolato: è la manifestazione più evidente di una asimmetria strutturale nei rapporti tra UE e USA in materia di dati e compliance fiscale.

L’Europa ha aderito al Common Reporting Standard (CRS) dell’OCSE, il sistema multilaterale di scambio automatico di informazioni fiscali. Gli USA non vi hanno aderito. L’Europa sta implementando DAC8 e CARF per estendere lo scambio automatico ai crypto-asset. Gli USA hanno rinviato l’implementazione, ma nel frattempo continuano a ricevere i dati dei propri cittadini presenti in Europa grazie al FATCA.

Il risultato è un flusso unidirezionale: i dati vanno verso gli USA, ma non tornano indietro. Le istituzioni finanziarie europee sostengono costi di compliance significativi per adempiere agli obblighi FATCA, senza che le loro controparti americane siano soggette a obblighi equivalenti. E tutto questo avviene in un contesto in cui gli USA possono sanzionare unilateralmente entità europee — attraverso OFAC, il Cloud Act, le sanzioni secondarie — senza che l’Europa disponga di strumenti simmetrici.

La questione FATCA-GDPR non è quindi solo una questione tecnica di compliance: è una questione di sovranità digitale e fiscale europea. E la rimessione alla CGUE è, in questo senso, un atto politico oltre che giuridico.

4. Impatti per imprese, fintech e CASP: cosa fare ora

I procedimenti pregiudiziali davanti alla CGUE hanno tempi mediamente lunghi: tra i 18 e i 36 mesi dalla rimessione. Non è quindi attesa una pronuncia a breve termine. Tuttavia, l’impatto della sola rimessione è già significativo: crea un’area di incertezza giuridica che le imprese non possono ignorare.

Gli scenari possibili sono essenzialmente tre.

Nel primo scenario, la CGUE stabilisce che il FATCA, nella sua forma attuale, non è compatibile con il GDPR e che l’art. 96 non può essere invocato come scudo permanente. Questo imporrebbe una rinegoziazione degli IGA e una revisione profonda dei meccanismi di trasferimento.

Nel secondo scenario, la CGUE individua condizioni e garanzie che rendono il FATCA compatibile con il GDPR, ma solo a determinate condizioni — ad esempio, prevedendo meccanismi di verifica, limitazioni alla raccolta, o strumenti di ricorso per gli interessati. Questo scenario richiederebbe comunque adeguamenti significativi.

Nel terzo scenario, la CGUE adotta un’interpretazione restrittiva dell’art. 96, confermando la validità degli accordi pre-GDPR ma chiarendo i limiti entro cui possono operare. Anche in questo caso, le imprese dovrebbero rivedere le proprie valutazioni di impatto.

Le implicazioni di questa vicenda riguardano un perimetro molto ampio di operatori: banche, intermediari finanziari, assicurazioni, fondi di investimento, piattaforme fintech. Ma un’attenzione particolare merita una categoria specifica: i Crypto-Asset Service Providers (CASP), i prestatori di servizi su crypto-asset regolati dal Regolamento MiCA.

I CASP sono già soggetti a obblighi di identificazione della clientela (KYC) e di segnalazione nell’ambito della normativa AML. Con DAC8 e CARF, saranno presto tenuti allo scambio automatico di informazioni fiscali sui propri utenti. Se tra questi utenti vi sono “US persons”, scattano anche gli obblighi FATCA.

Il problema è che molti CASP — specialmente le startup e le realtà di dimensioni medie — non hanno ancora una governance strutturata dei flussi di dati verso gli USA. La questione FATCA-GDPR li espone a un rischio duplice: da un lato, il rischio di non conformità GDPR per i trasferimenti verso l’IRS; dall’altro, il rischio di sanzioni americane per mancato adempimento FATCA.

Le azioni concrete che consigliamo di valutare sin da ora sono le seguenti.

Mappatura dei flussi di dati verso gli USA. È necessario identificare quali dati vengono trasferiti, a quale base giuridica si fa riferimento, e se quella base giuridica è ancora solida alla luce del dibattito in corso.

Aggiornamento della DPIA. La Data Protection Impact Assessment deve essere rivista per includere una valutazione specifica del rischio legato ai trasferimenti FATCA, tenendo conto dell’incertezza giuridica attuale.

Revisione delle informative. Gli interessati devono essere informati in modo trasparente dei trasferimenti verso gli USA e delle basi giuridiche utilizzate. Informative generiche o incomplete espongono a contestazioni.

Dialogo con il DPO. Se l’impresa ha nominato un Data Protection Officer, questo è il momento di coinvolgerlo attivamente nella valutazione del rischio FATCA, anche in ottica di accountability documentale.

Monitoraggio dell’evoluzione normativa. La pronuncia della CGUE, quando arriverà, potrebbe imporre adeguamenti rapidi. Avere già una mappatura aggiornata consente di reagire in tempi brevi.

Conclusione: la compliance non è statica

Il caso FATCA-GDPR ci ricorda una cosa fondamentale: la compliance non è uno stato, è un processo. Gli accordi firmati dieci anni fa, in un contesto normativo diverso, non possono essere considerati automaticamente validi oggi. Il diritto europeo evolve, e con esso evolvono le aspettative nei confronti di chi tratta dati personali.

La rimessione alla CGUE è un segnale importante: l’Europa sta prendendo sul serio la questione della sovranità sui dati, anche quando questo significa mettere in discussione accordi con un partner strategico come gli USA. Per le imprese, questo non è un problema: è un’opportunità per costruire una governance dei dati più solida, più trasparente e più resiliente.

Se vuoi capire come questa evoluzione normativa impatta sulla tua realtà aziendale, il team di 42 Law Firm è a disposizione per una valutazione personalizzata.